Staci ich odkazat na ich pravne oddelenie a uviest prave cast z obcianskeho zakonnika, kedy je zachovana pisomna forma. Zabralo. Pretoze staci, aby sa na to pozrel pravnik. Takze moje dva osobne pripady, nie jeden. Posledny priklad bolo SPP so ziadostou o odpojenie od plynu. Odmietli akceptovat, lebo chceli oskenovany podpis na vytlacenom papieri (co je uz uplna sprostost, ale bolo by mozne to brat za elektronicky podpis), na druhy den mi bolo oznamene, ze po porade s pravnym oddelenim akceptuju moju ziadost. Zial povedomie je mizerne.
Ja im pri tychto pripadoch zasielam paragraf z OZ dokonca hned v ziadosti a napriek tomu je to naozaj na velke hadanie. Ako pravnik banky dokaze posudit, ci technicky je advanced signature dostatocny na “urcenie osoby, ktora vykon vykonala”, tak to teda neviem, ale gratulujem, ze to preslo.
“hack, nezmysel, prúser, sprostosť” - olala, pozerám že flame sa to naplno rozhorel.
S chuťou sa pridám:
-
KEP s jeho vysokými zárukami bol pretlačený do EÚ legislatívy ITčkarskym podvodom, najmä pokiaľ ide o kontrolu podpisujúcej osoby, napr. chýba kritický komponent: záruka, že podpisujúca osoba skutočne presne vidí, čo podpisuje
-
“slovenský úradný KEP” je podvod na druhú, pretože podpisujúca osoba je inštruovaná nainštalovať si nejaký sw, o ktorom nič nevie, rovnako aplikácia pre eID je black-box - je preto absolútne neprimerané tvrdiť, že podpisujúca osoba má niečo “pod svojou výlučnou kontrolou” a sama si za to zodpovedá - a to najmä v situáciách, kedy je zákonom nútená spraviť podanie s KEPom, čiže nemá inú alternatívu
-
tuto v logike DusanaM je vzdialené podpisovanie KEPom vrchol podvodu, lebo celý postup je, že “po prihlásení dôjde k spojeniu dokumentu s jeho identitou” a niekde na pozadí niekto vygeneruje nejaké podpisové údaje za toho používateľa, pričom on sám to nemá pod kontrolou vôbec
-
“mohol by som ísť ďalej”, ale pokračujúc v tejto tejto úvahe vlastne neexistuje nikdy žiadny skutočný podpis, iba samé podvody, lebo z pohľadu používateľa je to absolútne vždy postup “uvedení přihlašovacího jména a zadání hesla spojené s následným odkliknutím určitého dokumentu”, samozrejme nejaká čudná kartička o ktorej vnútornom fungovaní nič nevie a nemá ho pod kontrolou, rovnako ako netuší ako funguje jeho počítač (iba ho vie použiť) v tomto nemôžu hrať rolu…
Odpoviem, aj ked otazka nie polozena spravne.
Týmto nariadením by sa mala ustanoviť zásada, že elektronickému podpisu by sa nemal odopierať právny účinok z dôvodu, že je v elektronickej forme alebo že nespĺňa požiadavky na kvalifikovaný elektronický podpis. Ponecháva sa však na vnútroštátne právo, aby vymedzilo právny účinok elektronických podpisov s výnimkou požiadavky stanovenej v tomto nariadení, podľa ktorej má kvalifikovaný elektronický podpis rovnocenný právny účinok ako vlastnoručný podpis.
KEP nie je vlastnorucny podpis, je to elektronicky podpis, ale ma rovnaky pravny ucinok ako vlastnorucny. AES je rovnako elektronicky podpis. Pravny ucinok mu vymedzi vnutrostatne pravo.
Ako je alebo nie je uznavany v jednotlivych krajinach, sa da dohladat.
K interoperability: Neviem odkial beriete, ze eIDAS sluzi primarne pre B2B?
- Viditelnost: Kedysi bolo povinne zobrazovat obsah pred podpisom, vacsina aplikacii to robi aj dnes, aj ked to myslim vypadlo ako povinnosti. Kedysi aj aplikacie bolo potrebne certifikovat. Ale ked uz nic ine, aspon po podpise sa da overit, co je/bolo obsahom podpisovaneho dokumentu a ci zodpoveda tomu, co bolo zobrazene. A da sa to overit.
A uz vobec nerozumiem argumentacii, ze ide o podvod pri kontrole podpisujucej osoby, ked podpisujuca osoba presne vidi/nevidi co podpisuje. Ako suvisi kontrola podpisujucej osoby s obsahom?
Kazdopadne pripomienky prosim smerovat na organ dohladu. Za mna aj toto malo svoje opodstatnenie. Potom by sme sa aspon nestretavali s aplikaciami, ktore podpise aj neplatnym certifikatom. Lebo aj take su na trhu.
-
Pod svojou vylucnou kontrolou ma kluce a certifikat, ktore sluzia na vytvorenie podpisu. Aplikacia je len prostriedok na vytvorenie podpisu. Ak nedoverujem tej, ktoru dodava stat, mozem si vybrat inu. Napr. europske DSS. Alebo tu, na ktorej pracuje slovensko.digital.
-
Ako sme sa dostali k remote signingu? AES sa predsa vytvara v zariadeni, ktore pouzijem na podpisanie, ale nie je certifikovane ako QSCD. PC, mobil. Ak sa bavime o remote signingu, tak tam nebude problem urbit ani KEP, pretoze vacsina HSM zariadeni na trhu a rieseni su certifikovane QSCD zariadenia.
@Lubor KEP s jeho vysokými zárukami bol pretlačený do EÚ legislatívy ITčkarskym podvodom"
@Lubor “slovenský úradný KEP” je podvod na druhú …
@Lubor …vlastne neexistuje nikdy žiadny skutočný podpis, iba samé podvody
Kam až klesneme?
S (ne)chuťou sa zapojím teda aj ja. Je mi smutno, z toho, že odbornosť sa nahrádza konšpiračnými teóriami a aroganciou. Keď je zrejmé, že Únia sa vydala jasným smerom(eIDAS) vymýšla sa tu teplá voda, ktorú majú zaplatiť daňoví poplatníci.(a zastierajú sa náklady) Čo sa zmenilo oproti predchádzajúcej garnitúre? Nič. Toto nie je garážový startup, ale eGov. Opäť sa raz potvrdzuje, vedieť pomenovať problém ešte neznamená ho vedieť aj správne vyriešiť. (model Matovič)
Blockquote “slovenský úradný KEP” je podvod na druhú, pretože podpisujúca osoba je inštruovaná nainštalovať si nejaký sw, o ktorom nič nevie
Ak o ňom nič nevie, je to absolútne zlyhanie MIRRI. A okrem iného aj v tom, že po viac ako dvoch rokoch nedokázalo zabezpečiť väčšiu otvorenosť pre použitie iných podpisovačov voči slovensko.sk. Ale konkrétne zlyhanie použit ako argument pre presadzovanie hranatého kolesa? Super.
Som rád, že nech dopadne akokoľvek toto slovenské dobrodružstvo, EÚ to zjavne opäť vyrieši. Áno, bude to určite ďalší “ITčkársky podvod”. Tak ako bol ten pri covid passe, keď EÚ prišla s dobrým a jednoduchým riešením, ktoré nahradilo kadejaké miestne blockchainové nezmysli.
1 Like
The eIDAS Regulation:
- ensures that people and businesses can use their own national electronic identification schemes (eIDs) to access public services available online in other EU countries;
- creates a European internal market for trust services by ensuring that they will work across borders and have the same legal status as their traditional paper based equivalents.
K 1. - autorizacia klikom uplne zapada do ramca eidasu - identifikacne schemy sa nijako nemenia. Naopak autorizacia klikom nevyzaduje ziadne specialitky s podpisovacmi - napriklad taky estonec ak u nas bude chciet podat podanie, tak si nemusi instalovat dsigner a lustit ako to nastavi na svoje eid.
K 2. autorizacia klikom sluzi na podania v ramci SK, cize nijako netreba riesit “across borders”. Skratka, kto chce fungovat across borders - ma X moznosti, ako si za par eur kupit riesenie.
Mne z tohto teda vychadza jednoznacne to, ze eidas sluzi na nieco co autorizacia klikom nijako nekazi. Naopak, eidasova identifikacia / autentifikacia sa da vyuzit. Druha cast eidasu - autorizacia - je pre nas nepodstatna lebo nepotrebujeme podpisovat sposobom, ktory ma sluzit cezhranicne.
Suma sumarum, argument interoperabilitou je uplne scestny, lebo takyto scenar je bud uplne raritny alebo neexistuje. Hrdit sa “europskym riesenim”, ktore je pre nase ucely uplne nepotrebne a komplikujuce vsetko dokola je strielanie si do kolena a presne v duchu “dajme tam blockchain aj ked ho tam netreba”.
Podobne ako pri covid passe - klucovou killer feature, pre ktoru sa to cele robilo bola … wait for it … cezhranicna interoperabilita - kedze ide o zakladne pravo slobody pohybu po EU. Cize nie autorizacia klikom je “hranate koleso”, ale skor eidas na vnutrostatne podania je “kanonom na vrabce”.
Taktiez by bolo vhodne tu doplnit, ze na rozdiel od SD, su tu predstavitelia firiem v jasnom konflikte zaujmov. Tym, ze predavaju eidasove certifikovane riesenia, karticky, tak maju prirodzeny zaujem presadzovat ich biznis zaujmy. Pre jednoduchu demonstraciu racionalnej argumentacie a jej objektivnosti mozeme skusit lahky test. Napiste @DusanM a @tze, kde v egove by ste pouzili nieco ako autorizaciu kliknutim ako dostatocne riesenie, hm? Lebo ja nemam problem napisat, kde treba QES/QSDC a ma zmysel.
1 Like
Slovensky formular + datacointainer je presne ta slovenska zvrhlost, ktora nemala nikdy uzriet svetlo sveta. A podla mna je blbost si vytvarat slovesnke riesenie pre vnutorneho pouzivatela a ine pre vonkajsieho. Ved dnes je uplne bezne ze SK obcan je konatel zahranicnej firmy a naopak. EU obcan majitel, spolumajitel, konatel tej slovenskej. A ma tu na spolocnom trhu vediet fungovat. Prave preto mam problem so vsetkymi slovenskymi pseudostandardami, ktore si tu vytvarame. Mam mat moznost to uradnikovi poslat okrem toho datacontainera (ked uz teda vznikol) aj ako podpisane PDF v PAdES formate a on to ma akceptovat. A kludne nech mam na webe formular, ktory vyplnim a vyrobim z neho PDF. PDFko vie otvorit kazdy. A dnes aj vyrobit. Napr. z Wordu. Krasny priklad je FS, ktora ma formulare na webe, ktore viem vyplnit. Ale potom ich musim vytlacit a podpisat, lebo ich neviem poslat ako XML a podpisat elektronicky. Lebo to nie je datacontainer. Naco mi je take riesenie.
Problem je, ze mame dodnes OVM, ktore na zakon kaslu a dokonca v rozpore so zakonom nie len ze neakceptuju vsetky formaty (ale len jeden vybrany), ale dokonca niektore aj vytvaraju/vytvarali donedavna ako odpoved dokumenty vo formatoch v rozpore s nariadenim. Stare ZEPX a pod. Takze o tom su tie haluze, ze ja nechcem dalsie slovenske experimenty. Tych par uz mi stacilo.
Na základe čl. 27 ods. 5 a čl. 37 ods. 5 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 (nariadenia eIDAS) a prílohy vykonávacieho rozhodnutia Komisie č. 2015/1506 má subjekt verejného sektora povinnosť prijímať a validovať kvalifikované elektronické podpisy (QES) vo všetkých predpísaných formátoch - CAdES ( .p7s, .p7m), XAdES (.xml), PAdES (.pdf), ASiC-E (.asice, .sce), ASiC-S (.asics, .scs). Zároveň má aj povinnosť vyhotovovať minimálne jeden z uvedených formátov.
Zákon č. 272/2016 Z. z. o dôveryhodných službách v § 14 ods. 3 a 4 ustanovuje pokuty až do výšky 3 000 eur za správne delikty v prípadoch, ak orgán verejnej moci odmietne prijať alebo vytvorí kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vo formáte, ktorý nie je v súlade s vyššie uvedenými predpismi.
Autorizacia kliknutim je uplne rovnaka pre vnutorneho aj vonkajsieho pouzivatela. Cize scenar “konatel z EU” mame vyrieseny. Nijako mu navyse nebrani pouzivat aj KEP z eidasu, ked chce. Dokonca moze aj PDF poslat (je to v zakone). Proste to tam pleskne ako prilohu a vybavene.
OVM samozrejme ziadne dokumenty/rozhodnutia autorizovane kliknutim vyrabat nebude. Cize toto nijako nebrani pouzitiu autorizacie kliknutim - v smere od obcana → ovm (ako je v zakone uz 5 rokov).
Jedine, ze by sme za kliknutie povazovali to kliknutie v agendovom systeme alebo na UPVS, ktore potom podpise pecatou podanie a teda magicky z kliku vyrobi KEP, s ktorym uz nikto nema ziadny problem. 
Tuto hru sme uz hrali, cela tato diskusia zacinala ako reakcia na prispevok, ktory bol mimo a ktory ste zverejnili. Mozme mat na veci iny nazor, mozme sa nezhodovat. Ale potvrdzuje sa, ze akakolvek diskusia skor ci neskor konci tym, ze niekto zo slovensko.digital zacne vytahovat konflik zaujmov. Ja som sa nikdy netajil tym, kde pracujem, ani som neskryval svoj nick za nejaky pseudonym. Ani som nevytahoval, ze slovensko.digital je dnes podnikajuca s.r.o. a kto je jej konatel. Tymto pre mna tu akakolvek diskusia na tejto platforme straca zmysel. “Klik je super. Hura. Nech zije klik.” A kazdy kto ma iny nazor je urcite v konflikte zaujmov. Gratulujem. Pounuli ste to na novy level.
prosim skuste napisat jeden priklad podania voci OVM, ktore by ste by ste mohli predkladat mimo SR?
obciansky zakonnik riesi ukony v sukromnom prave, vo verejnom ich riesi zakon o eGovernmente.
1 Like
@tze kam až klesneme? Neviem, na chvíľu som sa prispôsobil nastavenému tónu diskusie.
Chceme sa vrátiť na “vyššiu úroveň diskusie”? Tak prosím prestať s rečami “ak to nie je elektronický podpis popísaný v eIDAS, tak to je je hlúposť [a koniec sveta je blízko]”.
Zaujímavé, že keď bolo počas minulých dvoch rokov možné nejaké podania poslať povedzme obyčajným e-mailom (rozumej: bez akejkoľvek spoľahlivej identifikácie autorizujúcej osoby), nezaznamenal som žiadne podstatné protesty - všetci boli spokojní, ako dobre to funguje (pritom to evidentne neboli podania autorizované podľa zákona). Napr. ja som takto posielal žiadosti o pandemickú OČR. Rovnako nevidím, že by niekomu prekážali všetky dnes fungujúce de-facto autorizácie klikom.
A čo povedzme špeciálny režim “elektronická značka”, ktorý mnoho rokov využíva FS/CS SR?
Mne tieto náreky špeciálne pri diskusii o ÚPVS pripadajú falošné.
1 Like
ach…kedy konecne budu vsetci chapat, ze eIDAS je len rááááámec a stale tu existuju narodne upravy, nehovoriac o tom, ze to aka je uroven autorizacie zavisi na zakone, ktory upravuje postup v tom ktorom podani…
vo vseobecnosti vsak plati, ze na autorizaciu 90% ukonov voci OVM nie je potrebny KEP, kedze pri nich nehrozia ziadne finacne alebo majetkove skody…stacila by jednoducha autentifikacia a podla mojho skromneho nazoru je autorizacia klikom dobre riesenie…
4 Likes
prave naopak, je to to najdolezitejsie, kedze na zaklade toho potom robim riesenia…a ak neexistuje podanie (ziadost, oznamenie, navrh fyzickej alebo pravnickej osoby voci OVM) tak o com sa vlastne potom bavime…
1 Like
Mozem vam v klude ukazat, ako konflikt zaujmov manazujeme u nas v OZ. Napriklad v pripade autorizacie klikom sa necitim byt v ziadnom konflikte zaujmov, ak ho vy vidite, tak mi napiste, ze kde. To, ze som konatel este neznamena konflikt zaujmov predsa 
Ja som to tu dal len ako dodatok, nie kazdy vie, ze tu vystupuju ludia, ktori priamo statu dodavaju riesenia, ktore tu obhajuju. Rad si vypocujem iny nazor, ale zatial ziadne argumenty, ktore by ma donutili zmenit nazor nezazneli. Skor naopak, utvrdil som sa v tom, ze argumenty opacnej strany su mimoriadne slabe.
Pani, doporucujem vyjst von na ulicu a opytat sa prvych 100 ludi co je - KEP, PAdES, XAdES, QES, eIDAS, AES a mozno by som skusil zaradit aj eID, mID, elektronicka schranka, elektronicky podpis a pdf.
Beznym ludom je fakt jedno aky typ podpisu pouziju. Potrebuju jednoduche riesenie, ktore pomoze vyriesit ich problem. Vacsina ludi tam vonku je rada, ze si otvori pocitac, pozrie facebook, precita e-mail a nakupi online. Hladajme prosim riesenia pre tychto ludi - inak nam interoperabilita v ramci EU bude fakt k nicomu.
3 Likes
mate pravdu, ale potom mi nejde do hlavy preco sa touto logikou neriadi aj stat a nepouzil mID DEUSu.
1 Like
Suhlasim, preto som sa pytal, kolko je takych podani, kde by mi stacil/nestacil mail. A preco, ked minuly rok bolo mozne poziadat o odklad danoveho priznania mailom to tento rok neslo a ako problem s eID vyriesi klik. Tam ta cela diskusia zacinala. Problem na konci roka to nevyriesi. Tam kde je vyzadovany KEP som skoncil, ak nemam novy OP. A podsuvanie, ze klik tento problem vyriesi, nie je pravda.
Ako? Napriklad tak, ze problem s neplatnymi certifikatmi prestane existovat, v momente ked ich nebude potrebne pouzivat. Napriklad tak, ze sa spravi autorizacia cez klik (staci prihlasovacia cast eid - tam ziadna certifikacia nekonci)
Myslim, ze financna sprava velmi urputne pracuje na tom, aby sa zo zabetonovaneho historickeho reliktu “ZEP/KEP” v ich zakonoch vymanila a isli standardnym zakonom eGovu, ktory pozna autorizaciu klikom. Ak viete o dalsich pripadoch kde je KEP/ZEP zabetonovany v osobitych zakonoch sem s nimi.
Taktiez mi nie je zrejme ako problem so zabetonovanym KEP v osobitnych zakonoc riesi navrhovane Adv. signature. Lebo to KEP podla eidasu rozhodne nie je. To by bol len taky “slovensky KEP”, ze? Cim sa oblukom dostavame uplne na zaciatok.